信息安全有关标准标准的发展一国际标准的发展

《信息安全有关标准标准的发展一国际标准的发展》由会员分享，可在线阅读，更多相关《信息安全有关标准标准的发展一国际标准的发展（13页珍藏版）》请在装配图网上搜索。

1、第三章 信息安全有关原则第一节 原则的发展一 国际原则的发展 1960年代末，1970年代初，美国浮既有关论文。可信Ttusted，评测级别，DoD美国防部1967年10月，美国防科委赞助成立特别工作组。1970年，Tast Force等人计算机系统的安全控制（始于1967年）。1970年代初，欧、日等国开始。1970年2月，美刊登计算机系统的安全控制。1972年，美刊登DoD5200.28条令。1972年，美DoD自动数据解决系统的安全规定1973年，美DoDADP安全手册-实行、撤销、测试和评估安全的资源共享ADP系统的技术与过程1973年，美刊登DoD5200.28-M（.28相应的指南

2、）。1976年，MITRE公司的Bell、LaPadula推出典型安全模型贝尔-拉柏丢拉模型（形式化）。1976年，美DoD重要防卫系统中计算机资源的管理1976年，美联邦信息解决原则出版署FIPS PUB制定计算机系统安全用词。1977年，美国防研究与工程部赞助成立DoD（Computer Security Initiative，1981年01月 成立DoD CSC）。1977年3月，美NBS成立一种工作组，负责安全的审计。1978年，MITRE公司刊登可信计算机系统的建设技术评估原则。1978年10月，美NBS成立一种工作组，负责安全的评估。1983年，美发布“可信计算机系统评价原则TCS

3、EC”桔皮书（1985年正式版DoD85）。DoD85：四类七级：D、C（C1、C2）、B（B1、B2、B3）、A（后又有超A）。1985年，美DoD向DBMS，NET环境延伸。1991年，欧四国(英、荷兰、法等)发布“信息技术安全评价原则IT-SEC”。1993年，加拿大发布“可信计算机系统评价原则CTCPEC”。国际原则组织IEEE/POSIX的FIPS，X/OPEN。1993年，美DoD在C4I(命令、控制、通信、计算机、集成系统)上提出多级安全MIS技术。1994年4月，美国家计算机安全中心NCSC颁布TDI可信计算机系统评估原则在数据库管理系统的解释。1994年，美、加、欧的信息技术

4、安全评测公共原则CC V0.9，1996年为1.0版本。与上述原则不同，目前信息安全尚无统一原则。影响较大的：美TCSEC 桔皮书及红皮书（桔皮书在网络环境下和解释）；美信息系统安全协会ISSA的GSSP（一般接受的系统原则）（与C2不同，更强调个人管理而不是系统管理）；日本计算机系统安全规范；英国制定自己的安全控制和安全目的的评估原则（1989年）；西德信息安所有门的信息安全技术的安全评价原则（1989年）；加拿大、新西兰、欧盟。二 国内1994年2月，国务院“计算机信息安全保护条例”近年，接近TDI，TCSEC的国际原则。一般C2级，部分C1级。日本还处在开始阶段CoBASE系统。第二节

5、概述一基本概念1桔皮书TCSEC与数据库解释TDI（Trusted Computer System Evaluation Criteria）设计、实现时要：数学模型、型式化描述、验证技术。（1）提供一原则 可信度评估（2）提供制造原则（3）提供有关方面的解释 可信数据库解释TDI（Trusted Database Interpretation） 可信网络解释 TNI（Trusted Network Interpretation）1987年4组division七级别class偏序兼容向下、层次化、积聚性。可信计算基TCB（Trusted Computing Base）硬件与支持不可信应用及不可信

6、顾客的操作系统组合体。B级开始规定强制存取控制和形式化模型的应用。A1级规定形式化描述、验证，形式化隐秘通道（Covert Channel）分析等。二国内信息安全原则1995年，GB/T9387-2-1995相称于ISO7498-2-1989（最早1984年提出）1996年，GJB2646-96军用计算机安全评估准则相称于桔皮书1999年，GB17859-1999计算机系统安全特性级别划分准则GB4943-1995信息技术设备的安全（IEC950）GB9254-88信息技术设备的无线电干扰限值和测量措施GB9361-88计算机场地安全GB/T9387.2-1995OSI的第二部分安全体系构造I

7、SO7498.2：1989GB/T15277-1994信息解决64位块加密算法ISO8372：1987GB/T15278-1994 信息技术数据加密，物理层互操作性规定ISO9160：1988GB15851-1995信息技术安全技术，带消息恢复的数字签名方案ISO/IEC9796：1991GB15852-1995 信息技术安全技术，用块加密算法校验函数的数据完整性ISO/IEC9797：1994 GB15853.1-1995信息技术安全技术，实体鉴别机制部分：一般模型ISO/IEC 9798.1：1991GB15853.2-1995信息技术安全技术，实体鉴别机制部分：对称加密算法的实体鉴别IS

8、O/IEC9798.2：1994GB15853.3信息技术安全技术，实体鉴别机制部分：非对称签名技术机制ISO/IEC9798.3：1997GB15853.7信息技术开放系统连接-系统管理-安全报警功能ISO/IEC10164-7：1992GB15853.8 信息技术开放系统连接-系统管理-安全审计跟踪ISO/IEC10164-8：1993国家军用原则：GJB1281-91 指挥自动化计算机网络安全规定GJB1295-91 军队通用计算机使用安全规定GJB1894-94 自动化指挥系统数据加密规定GJB2256-94 军用计算机安全术语GJB2646-96 军用计算机安全评估准则GJB2824

9、-97 军用数据库安全规定正制定： 分组过滤防火墙防火墙系统安全技术规定 应用网关防火墙网关安全技术规定 网络代理服务器和信息选择平台安全原则 鉴别机制原则 数字签名机制原则 安全电子商务原则部分：抗抵赖机制 网络安全服务原则：信息系统安全性评价准则及测试规范 安全电子数据互换原则 安全电子商务原则部分：密钥管理框架 路由器安全技术规定 信息技术N位块密码算法的操作方式 信息技术开放系统互连-上层安全模型信息技术开放系统互连-网络层安全模型信息技术安全技术-实体鉴别部分-用加密校验函数的机制三几种级别1GB17859-1999计算机系统安全保护级别划分与准则 具体级别：第1级 顾客自主保护级第

10、2级 系统审计保护级第3级 安全标记保护级第1级 构造化保护级第1级 访问验证保护级2TCSEC级别（1）TCSEC级别A1 设计的形式化验证Verified DesignB3 安全域 Security DomainsB2 构造化保护 Structural ProtectionB1 带标记的安全保护 Labeled Security ProtectionC2 受控制的存取保护 Controlled Access ProtectionC1 自主安全保护 Discretionary Security Protection D 最小保护 Minimal Protection（2）TCB 可信度算基操

11、作系统级含：操作系统内核具有特权的程序和命令解决敏感信息的程序，如系统管理命令与TCB实行安全方略有关的文档资料保障固件和硬件对的运营的程序和诊断程序构成系统的固件和硬件负责系统管理的人员TCSEC设计目的是将TCB做得尽量少只考虑系统安全性，不考虑系统中其她与系统安全无关的因素。四各级原则及其应用背景每一较高档别的都是其较底级别的超集安全评测原则四方面：安全方略，责任，保证，有关文档D级：不好的统统放入DOSC1级：很初级商业系统C2级：安全产品的最低档次 WinNT3.5，Open VMS VAX6.0、6.1，oracle7，Sybase的SQL Server11.0B1级: 强制存取控

12、制，审计，真正的安全产品 SEVMS VAX 6.0，HP-UX BLS release 9.0.9+incorporated INFORMIX-Online/Secure5.0，Trusted Oracle7，Sybase Secure SQL Server V11.0.6 B2：产品很少Trusted XENIX（操作系统），LLC VSLAN（网络）理论研究，产品化及商品化限度不高，特殊应用军队 美：很先进，已有一批产品，欲下放到商业应用中国内1998年，初级阶段，应用少 COSA中国开放系统平台，有B2级的COSIX 操作系统和B1级的COBASE数据库第三节 TCSEC/TDT安全原

13、则一安全级别的划分1 阐明（4方面）（1）R1安全方略R1.1自主存取控制 R1.2 客体重用 *R1.3 标记R1.3.1 标记完整性R1.3.2 标记信息的扩散R1.3.3 主体敏感度标记R1.3.4 设备标记 R1.4 强制存取控制（2）R2 责任R2.1标记与鉴别 R2.1.1 可信途径 *R2.2 审计（3）R3 保证R3.1 操作保证*R3.1.1 系统体系构造R3.1.2 系统完整性R3.1.3 隐蔽信道分析R3.1.4 可信设施管理辨别操作员，管理员和安全管理员等的不同功能R3.1.5 可信恢复 R3.2 生命周期保证R3.2.1 安全测试*R3.2.2 设计规范和验证R3.2

14、.3 配备管理R3.2.4 可信分派 主数据与其现场拷贝之间映射的完整性（4）R4文档R4.1 安全特性顾客指南R4.2 可信设施手册R4.3 测试文档R4.4 设计手册(加*的有针对DBMS的专门解释)（5）安全规定相邻的安全级之间随级别升高,安全性能指标：从无到有 New；相似Same；变化Change；新增Add安全规定:安全1 安全方略2责任3保证4文档级别1.11.21.3.1.2.3.41.42.12.1.12.23.1.1.2.3.4.5 3.2.1.2.3.44.14.24.34.4C1C2B1B2B3A1 NCASSCASNSSSS N N S S N N S S S S S

15、 S S SNCSSN/-A/-C/-S/NS/CS/SNCAASN NA SA SC S N NA S C A NS S A S SNAN NC CA NC A SC CA CA NNSSSSSNAAAASNSSASANSACAA阐明：B级跳跃大；C2级顾客能对各自的行为负责,使用LOG-ON登录，审计跟踪与安全性有关的事件和资源隔离；B1级能使用标记机制对特定的客体进行强制存取控制。二安全级别简介1D组最低安全类最小保护。2C组自由选择性安全保护自主保护，引入审计功能，可对主体其行为进行审计。（1）C1级自主安全保护，对顾客和数据的分离，保护或限制顾客权限的传播。（系统管理员安全有问题，多

16、人懂得根口令）（2）C2级比C1更精细（自主存取控制）受控安全保护，以个人身份注册负责，实行审计和资源隔离。A安全方略自主存取控制保护对象以避免非授权存取，对存取权限的传播提供控制，存取控制粒度达单个顾客。对象重用当系统资源被回收并重新运用时，先前的在资源上存储的信息不应被目前的资源拥有者所看到。B责任标记与验证当顾客规定可信计算基TCB完毕某工作时，TCB一方面应当规定顾客提供身份证明，再使用某保护机制（如口令）来验证顾客提供的身份证明。责任贯彻到个体，将标记操作与可审计的动作关联起来。审计TCB能建立、维护以及保护审计记录不被更改、破坏或受到非授权存取。能记录：使用标记，验证机制；向顾客地

17、址空间引入对象；删除对象；操作员/管理员/安全主管发出的动作；其她与安全有关的事件。审计项：事件发生的日期与时间，波及的顾客，事件类型，事件成功或失败。能通过对个体的辨认，有选择地审计任何一种或多种顾客。C保证操作性保证波及系统构造TCB为自己的操作维护一域，从而避免外部的干涉或篡改；有关系统完整性用硬件或软件可周期地对TCB的对的性作出验证。生命周期保证进行安检以符合原则。保证没有明显的旁路可绕过或欺骗TCB的安全保护机制。检查与否存在明显的漏路（违背对资源的隔离，导致对审计或验证数据的非法操作）。D文档三个是必需的安全特性顾客指南提供什么机制，如何使用之以及这些机制之间的关系。可信设备手册

18、（系统管理员用）对控制的职责和特权提出建议，如何检查维护审计文献以及具体审计记录构造的程序。测试文档解释保护方略及其如何应用到TCB上；当TCB由多模块构成时，还应对模块间接口进行描述。3B组强制性安全保护强制保护：定义及保持标记的完整性，引用监视的概念。（1）B1级标记安全保护A安全方略自主存取控制和对象重用与C2完全相似有关标记的内容TCB维护所有敏感标记控制下的主体和客体（极端例子即每一对象都上一把锁，形成顾客标记、加密标记的双重保护）。TCB规定授权顾客提供无标记数据的安全级别，并且规定与之有关的动作都可审计的。 波及：标记完整性被标记信息的导出方式（TCB设每信道和I/O设备或为单一

19、安全级别，或为多重安全级别，这种级别的变化由手工完毕且能审计）强制存取控制区别于C级的最重要特性，是B组安全机制的核心所在。如L(s)=L(o)，则主体S能读客体O如L(s)=L(o)，则主体S能写客体OB责任标记和认证维护认证数据，清除和授权信息。为每一顾客提供唯一的身份并与相应个体的所有可审计动作关联起来。审计与C2差别不大。增长：审计任何试图违背可读输出标记的行为。C保证操作保证对系统构造方面，TCB可通过控制独立地址空间来维护进程的隔离。对身份完整方面，B1与C2完全相似。生命周期保证提供设计文档，源代码以及目的代码，以供彻底地分析和测试。保证任何顾客使TCB陷入无法和其她顾客通讯的境

20、地。能清除或补救缺陷，并再次测试以证明所有漏洞的确清除，且没有引入新漏洞。模型可以是形式化的，也可以是非形式化的。D文档 4种手册安全特性文档与C2完全相似。可信设备手册描述责任，涉及变化顾客的安全机制；安全标记对一般顾客是不可变更的；赋予特权-“后门”。测试文档与C2规定相似。设计文档有一TCB所实行安全方略的模型，它可形式化，也可非形式化，且证明该模型满足安全方略的需求。（2）B2级构造化保护形式化，能找出隐秘通道（监控对象在不同安全环境下的移动过程（如两进程间的数据传递），具体有定期、存贮两种类型的隐秘通道），加强验证机制，更安全的评测，更严格的配备控制；可多级安全标记。（3）B3级安全

21、域保护必须满足访问监控器规定，审计跟踪能力更强，提供系统恢复过程。能抗篡改（保证自身安全），TCB足够小以利分析和测试（为理论上验证提供保证），支持安全管理员角色，引用监视器参与所有主体对客体的存取（保证不存在旁路），顾客终端必须通过一可信话途径连到系统上。用安装硬件的措施来加强域，例如：用内存管理硬件来避免无授权访问；基准监控器，用于追踪对象的使用状况。4A组验证设计验证设计给出形式化设计阐明和验证。系统安全管理器；设计，控制，验证，创立安全模型。部件来源有安全保证，销售/运送中严密跟踪，严格的配备管理。第四节产品重要的TCSEC，TDI。美的多数大型DBMS通过NCEC的安全认证，达到B1

22、级，个别系统已达B2级。国内：C级，部分C1级，B级处在开始阶段。美NCSC，1994年4月，颁布TDI（数据库）为生产者，评估者及研究者提供权威根据。HP，1996年3月，领导发布X/Open Security Branding筹划，推出国际密码架构ICF方略，推出HP UXCMW B1级OS（通过TC-SE的ITSEC评测）。还推出Security Mail.在国内市场推出HP Praesidium系列产品，其中HP P/Virtual Valut(VVOS)是使用了B1级的核心。HP在NCSC评测的B1级的OS为HP-UX BLS。DEC的C2级OS为Digital Unix和 Open

23、VMS。B1级OS/CMW级OS为SEVMS和Digital MLS+（通过TCSEC和ITSEC认证）。网络监视器和防火墙产品：Alta Vista Tunnel Personal EditionAlta Vista Tunnel Workgroup EditionSUN的B1级OS为Solaris（通过ITSEC认证）。SGI的B1级OS为IPIX/B（通过ITSEC，TSCES认证）。Microsoft提出Internet安全框架MISF。Windows NT 4.0提供C2级的安全软件集合和安全开发API（已通过ISS与SATAN的安全测试的一般袭击测试，未通过TCSEC评测，正进行I

24、TSEC评测）。Sybase的安全数据库Secure SQL Server：B1级，美军方用品（海湾战争中使用）。 RSA（以色列在美注册的安全技术公司），面向多平台，提供各类安全软件，硬件系统，提出S/WAN原则。ISS，1996年的产品获美大奖及最佳创意奖，在安全测试和监控领域中处在领导地位；1998年上市产品：Web Security Scanner，System Security Scanner，Real Secure，Firewall Scanner，Internet Scanner，Intranet Scanner等。NAI（安全领域中的一较大公司），有防火墙，黑客测试，监控软件，信息加密软件。其她安全系统分析开发公司：SATAN(OS)，Tiger(UNIX)，COPS(UNIX)，Instruction Dection KSM(NT)，CANPLE(NT)，Tripwire(DataBase)，Altarista(firewall)等等。